SPF 記錄詳解一 句型在一條SPF 記錄中, 按照排列的先后順序, 對所給出的機制進行驗證. 如果在SPF 記錄中, 沒有機制或修改符, 默認結果是中性(Neutral); 如果域沒有SPF 記錄,

SPF 記錄詳解

一 句型

在一條SPF 記錄中, 按照排列的先后順序, 對所給出的機制進行驗證. 如果在SPF 記錄中, 沒有機制或修改符, 默認結果是中性(Neutral); 如果域沒有SPF 記錄, 結果是:”無”(None);如果在DNS 解析期間, 有一個臨時錯誤, 會報”臨時錯誤”(TempError)(以前的規(guī)劃中稱作”錯誤”(error));如果SPF 記錄句型錯誤, 比如寫法錯誤或者使用了未知句型, 會報”永久錯誤”(PermError)(以前稱作”unknown ”)

1 機制

1.1 機制表示

1.1.1 all

這個機制總是匹配的, 通常用在記錄的結尾. 例:

“v=spf1 mx –all ” 允許所有該域的MX 郵件服務器發(fā)送郵件, 禁止所有其他的.

“v=spf1 –all ” 該域根本不能發(fā)送郵件

“v=spf1 all” 任何服務器都可以發(fā)送郵件

1.1.2 ip4

“v=spf1 ip4:192.168.0.1/16 –all ” 允許192.168.0.1到192.168.255.255的服務器發(fā)送郵件

“v=spf1 ip4:192.168.0.1 –all ” 允許192.168.0.1發(fā)送郵件, 與“v=spf1 ip4:192.168.0.1/32 –all ”同意

1.1.3 ip6

單個IP, 于ip4不同,/128為默認前綴 例:

"v=spf1 ip6:1080::8:800:200C:417A/96 -all"

允許1080::8:800:0000:0000 和 1080::8:800:FFFF:FFFF之間的主機發(fā)送

"v=spf1 ip6:1080::8:800:68.0.3.1/96 -all"

允許 1080::8:800:0000:0000 和1080::8:800:FFFF:FFFF之間的主機發(fā)送

1.1.4 a

例:假設當前域為example.com

"v=spf1 a -all" 當前域被使用

"v=spf1 a:example.com -all"當前域被使用

Equivalent if the current-domain is example.com.

"v=spf1 a:mailers.example.com -all" 指定mailers.example.com 的主機IP 可以外發(fā)郵件

"v=spf1 a/24 a:offsite.example.com/24 -all" 如果example.com 解析到192.0.2.1, 那么全部的C 類地址192.0.2.0/24將作為可外發(fā) 郵件的IP 地址; 同樣, 如果offsite.example.com 有多個A 記錄地址, 每一個IP 地址也會被擴展到CIDR 子網(wǎng), 作為可外發(fā)郵件IP 地址.

1.1.5 mx

所有域的MX 記錄對應的A 記錄, 按照MX 記錄的優(yōu)先級進行驗證. 如果發(fā)送IP 在這些記錄中, 則機制匹配. 如果域未指定, 默認為當前域.

A 記錄需要精確匹配發(fā)送郵件的IP 地址. 如果有CIDR 前綴, 則需要逐個對應IP 地址驗證. 例:

v=spf1 mx mx:deferrals.domain.com -all"

Perhaps a domain sends mail through its MX servers plus another set of servers whose job is to retry mail for deferring domains.

也許一個域可以通過他的MX 服務器發(fā)送郵件, 而另外也可以通過deferrals.domain.com 的MX 服務器發(fā)送郵件.

"v=spf1 mx/24 mx:offsite.domain.com/24 -all"

也許一個域的MX 服務器在一個IP 接收郵件, 而用臨近的另一IP 發(fā)送郵件.

1.1.7 prt

發(fā)送IP 的PTR 記錄至少有一個和給定域相匹配. 盡量避免使用這種機制, 因耗費大量的DNS 查詢

例子:

"v=spf1 ptr -all"

"v=spf1 ptr:otherdomain.com -all"

1.1.8 exists

對被提供的域進行A 記錄查詢, 如果有結果, 則匹配. 如果結果是”-“, 會被當作127.0.0.2對待. 在下面的例子中, 發(fā)件IP 地址為1.2.3.4, 當前域為example.com

"v=spf1 exists:example.net -all"

如果example.net 不能解析, 結果失敗. 如果可以解析. 機制匹配.

1.1.10 include

句型：include:

指定的域被查詢后匹配. 如果查詢無匹配或者有錯誤, 接著開始下一個機制處理. 警告:如果指定域不是合法有效的SPF 記錄, 返回”永久性錯誤”結果. 某些郵件接收者會基于此錯誤, 拒絕接受郵件.

例:

在下面的例子中, 發(fā)信IP 是1.2.3.4, 當前域是example.com

“v=spf1 include:example.net –all ”

如果example.net 沒有SPF 記錄, 結果是”永久錯誤”(PermError)

假設example.net 的SPF 記錄是”v=spf1 a –all ”

查詢exapmle.net 的A 記錄, 如果匹配1.2.3.4, 結果是”通過”(Pass);如果不匹配,, 則include 整體匹配失敗, 后面的-all 將不再驗證, 最后總的結果還是”失敗”(Fail).

這個機制會涉及信任關系, 可能會有越權行為, 可能被人假冒. 因此可以設置為中性, 在include 前加上標識符?

“v=spf1 ?include:example.net –all ”

該機制一般不宜選擇.

1.2 標識符

作為機制的前綴, 表明機制的狀態(tài). 機制的默認標識符為” ”

" " Pass (通過)

"-" Fail (失敗)

"~" SoftFail (軟失敗)

"?" Neutral (中性)

2修改符

在一個SPF 記錄中, 每個修改符只能使用一次, 不能重復使用. 未知修改符將會在驗證時忽略。

1.2.1 redirect

句型: redirect=

將會用指定域代替當前域

在下面的例子里:當前域為example.com, 發(fā)信IP 是1.2.3.4

“v=spf1 redirect=example.net”

如果example.net 沒有SPF 記錄, 返回”unknown ”的錯誤

假設example.net 的SPF 記錄是”v=spf1 a –all ”

查詢example.net 的A 記錄, 如果匹配1.2.3.4, 則”通過”(Pass);如果不匹配, 該行為失敗, 接著開始執(zhí)行-all 機制.

1.2.2 exp

句型: exp=

提供解釋性的語句. 如果SMTP 接收者拒絕一個信息, 它可以包含一個返回給發(fā)信者的解釋信息.SPF 記錄里可以包含一個解釋字符串給發(fā)送者, 告之相關的錯誤信息或需要訪問的幫助頁面等.

二 處理過程

三 錯誤代碼

驗證SPF 記錄的結果只能有如下幾在種:

設置SPF 記錄

SPF 記錄類似類似這樣：

v=spf1 a mx mx:mail.jefflei.com ip4:202.96.88.88 ~all

這條SPF 記錄具體的說明了允許發(fā)送 @yourdomain.com 的IP 地址是：

a （這個a 是指 yourdomain.com 解析出來的IP 地址，若沒有配置應取消）

? mx （yourdomain.com 對應的mx ，即 mail.yourdomain.com的A 記錄所對應的ip ）

? mx:mail.jefflei.com （如果沒有配置過mail.jefflei.com 這條MX 記錄也應取消）

? ip4:202.96.88.88 （直接就是 202.152.186.85 這個IP 地址） ? 其他還有些語法如下：

- Fail, 表示沒有其他任何匹配發(fā)生

~ 代表軟失敗，通常用于測試中

? 代表忽略

如果外發(fā)的ip 不止一個，那么必須要包含多個

可以通過這個網(wǎng)站的向導自動生成SPF 記錄：http://www.openspf.org/ , Godaddy 域名解析面板的TXT 記錄也提供了設置SPF 記錄的向導，設置很方便。

檢測SPF 記錄設置是否正確

發(fā)信到 check-auth@verifier.port25.com ，如果收到的信息是 ：SPF check: pass 就說明設置成功了。

查看域名的SPF 記錄 Windows 下，開始菜單—>運行—>輸入cmd ，然后回車，在命令行下輸入： nslookup -type=txt 域名

就可以看到域名設置的TXT 記錄了。 Unix 操作系統(tǒng)下用：

dig -t txt 域名